LunarWeb แบ็คดอร์
กระทรวงการต่างประเทศของยุโรป (MFA) และภารกิจทางการทูต 3 แห่งในตะวันออกกลางถูกโจมตีโดยแบ็คดอร์ใหม่ที่เรียกว่า LunarWeb ซึ่งไม่เคยมีการบันทึกไว้มาก่อน นอกจากนี้ ผู้โจมตียังใช้เครื่องมือที่เป็นอันตรายอีกตัวที่เรียกว่า LunarMail นักวิจัยเชื่อด้วยความมั่นใจปานกลางว่าการโจมตีทางไซเบอร์ครั้งนี้เป็นผลงานของกลุ่มจารกรรมทางไซเบอร์ที่สอดคล้องกับรัสเซีย Turla ซึ่งเป็นที่รู้จักในนามแฝงต่างๆ รวมถึง Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos และ Venomous Bear การระบุแหล่งที่มานั้นขึ้นอยู่กับความคล้ายคลึงกันของกลยุทธ์ที่พบในแคมเปญก่อนหน้าที่เกี่ยวข้องกับผู้แสดงภัยคุกคามรายนี้
LunarWeb ทำงานบนเซิร์ฟเวอร์ที่ใช้ HTTP(S) สำหรับการสื่อสาร Command-and-Control (C&C) โดยปิดบังกิจกรรมของตนว่าเป็นคำขอที่ถูกต้องตามกฎหมาย ในทางกลับกัน LunarMail ซึ่งใช้งานบนเวิร์กสเตชันยังคงเป็น Add-in ของ Outlook และใช้ข้อความอีเมลสำหรับการสื่อสาร C&C การตรวจสอบสิ่งประดิษฐ์ทางจันทรคติบ่งชี้ว่าพวกมันอาจถูกนำไปใช้ในการโจมตีแบบกำหนดเป้าหมายได้ตั้งแต่ปี 2020 หรืออาจเร็วกว่านั้นด้วยซ้ำ
สารบัญ
Turla APT เป็นตัวแสดงภัยคุกคามหลักในที่เกิดเหตุอาชญากรรมไซเบอร์
Turla ซึ่งได้รับการประเมินว่าอยู่ในเครือของ Federal Security Service (FSB) ของรัสเซีย เป็นภัยคุกคามขั้นสูงแบบถาวร (APT) ที่ทราบกันว่ามีการใช้งานมาตั้งแต่ปี 1996 เป็นอย่างน้อย มีประวัติในการกำหนดเป้าหมายอุตสาหกรรมต่างๆ ครอบคลุมรัฐบาล สถานทูต ทหาร ภาคการศึกษา การวิจัย และเภสัชกรรม
ในช่วงต้นปี 2024 กลุ่มจารกรรมทางไซเบอร์ถูกค้นพบโจมตีองค์กรในโปแลนด์เพื่อแจกจ่ายประตูหลังชื่อ TinyTurla-NG (TTNG) กลุ่ม Turla เป็นศัตรูตัวฉกาจที่มีประวัติกิจกรรมมายาวนาน ต้นกำเนิด ยุทธวิธี และเป้าหมายของพวกเขาล้วนบ่งชี้ถึงปฏิบัติการที่ได้รับทุนสนับสนุนอย่างดีพร้อมกับผู้ปฏิบัติการที่มีทักษะสูง
เวกเตอร์การติดไวรัสสำหรับการส่ง LunarWeb Backdoor
ขณะนี้ไม่ทราบวิธีการที่แม่นยำที่ใช้ในการละเมิด MFA แต่สงสัยว่าเกี่ยวข้องกับองค์ประกอบของฟิชชิ่งแบบหอกและการใช้ประโยชน์จากซอฟต์แวร์ Zabbix ที่กำหนดค่าไม่ถูกต้อง เชื่อกันว่าระยะแรกของการโจมตีจะเริ่มต้นด้วยเวอร์ชันที่คอมไพล์ของหน้าเว็บ ASP.NET ซึ่งทำหน้าที่เป็นช่องทางในการถอดรหัส blobs ที่ฝังอยู่สองตัวที่มี LunarLoader (ตัวโหลด) และแบ็คดอร์ LunarWeb
ในกระบวนการนี้ เมื่อมีการเข้าถึงเพจ คาดว่าจะมีรหัสผ่านภายในคุกกี้ชื่อ SMSKey หากระบุ รหัสผ่านนี้จะใช้ในการรับคีย์การเข้ารหัสสำหรับการถอดรหัสเพย์โหลดที่ตามมา ผู้โจมตีน่าจะมีการเข้าถึงเครือข่ายที่มีอยู่แล้ว ใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อการเคลื่อนไหวด้านข้าง และดำเนินการโดยเจตนาเพื่อประนีประนอมเซิร์ฟเวอร์อย่างรอบคอบ
ในทางกลับกัน LunarMail ได้รับการเผยแพร่ผ่านเอกสาร Microsoft Word ที่เป็นอันตรายซึ่งส่งผ่านอีเมลฟิชชิ่งแบบหอก ซึ่งรวมถึงเพย์โหลดของ LunarLoader และแบ็คดอร์ที่เกี่ยวข้อง
LunarWeb และ LunarMail Backdoors ทำงานอย่างไรเมื่อถูกดำเนินการ?
LunarWeb สามารถรวบรวมข้อมูลระบบและดำเนินการคำสั่งที่ฝังอยู่ในไฟล์ภาพ JPG และ GIF ที่ได้รับจากเซิร์ฟเวอร์ C&C จากนั้นผลลัพธ์จะถูกบีบอัดและเข้ารหัสก่อนที่จะถูกส่งกลับ เพื่อหลบเลี่ยงการตรวจจับ LunarWeb จึงปลอมตัวการรับส่งข้อมูลเครือข่ายให้มีลักษณะคล้ายกับกิจกรรมที่ถูกต้องตามกฎหมาย เช่น การอัปเดต Windows
คำแนะนำ C&C ช่วยให้ LunarWeb สามารถรันคำสั่งเชลล์และ PowerShell รันโค้ด Lua จัดการไฟล์ และเก็บถาวรไดเร็กทอรีที่ระบุ เครื่องมือฝังอีกตัวหนึ่งคือ LunarMail มีฟังก์ชันการทำงานที่คล้ายคลึงกัน แต่ทำงานมีเอกลักษณ์เฉพาะด้วยการผสานรวมกับ Outlook และสื่อสารกับเซิร์ฟเวอร์ C&C ผ่านทางอีเมล โดยสแกนหาข้อความเฉพาะที่มีไฟล์แนบ PNG
คำสั่งของ LunarMail รวมถึงการกำหนดค่าโปรไฟล์ Outlook สำหรับ C&C การเรียกใช้กระบวนการที่กำหนดเอง และการจับภาพหน้าจอ ผลลัพธ์จากการกระทำเหล่านี้จะถูกซ่อนไว้ในรูปภาพ PNG หรือเอกสาร PDF ก่อนที่จะส่งเป็นไฟล์แนบอีเมลไปยังกล่องจดหมายที่ผู้โจมตีควบคุม
LunarMail ได้รับการออกแบบมาเพื่อการใช้งานบนเวิร์กสเตชันของผู้ใช้แทนที่จะเป็นเซิร์ฟเวอร์ โดยคงไว้เป็น Add-in ของ Outlook วิธีการปฏิบัติงานนั้นคล้ายคลึงกับ LightNeuron ซึ่งเป็นแบ็คดอร์อีกตัวหนึ่งของ Turla ที่ใช้ข้อความอีเมลสำหรับการสื่อสารของ C&C
